Verwaltung von Ident itätsanbietern

Online bearbeiten

Ein Identitätsanbieter ist ein Verzeichnis, das zur Benutzerauthentifizierung und zur Einrichtung von Konten verwendet wird. Sie können mehr als einen Identitätsquellenanbieter konfigurieren. Alle konfigurierten und aktivierten Identitätsanbieter werden auf der Verify An meldeseite als Optionen angezeigt. Benutzer können sich Verify über einen dieser Identitätsanbieter anmelden.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich als Administrator bei der IBM® Verify Verwaltungskonsole an.

Informationen zu dieser Task

Hinweis: Verify IDP-Abmeldung wird nicht unterstützt. Wenn Sie sich von Verify abmelden, werden Sie nicht von Ihrem Identitätsanbieter oder von den Anwendungen Subskribiert abgemeldet, bei denen Sie sich über diesen Identitätsanbieter angemeldet haben.
Verify unterstützt die folgenden Arten von Identitätsanbietern:
Cloud Directory

Verwendet eine Benutzerregistry, die sich in der Cloud befindet.

Über „Verzeichnis > Benutzer und Gruppen“ können Sie diesem Identitätsanbieter Benutzer- und Gruppeninformationen hinzufügen.

Dieser Identitätsanbieter wird in einer Single-Sign-On-Konfiguration mit ausgehender Verbindung (Outbound- SAML ) verwendet. Verify überprüft die Identität des Benutzers anhand der Daten dieses Identitätsanbieters.

SAML Enterprise

Es nutzt eine lokale Benutzerregistrierung und tauscht „ SAML “-Token aus, um die Authentifizierung abzuschließen.

Bei einem Single-Sign-On in „ SAMLVerify kann es sich um einen der folgenden Anbieter handeln:
Identitätsprovider

Verify nutzt sein eigenes Cloud-Register oder Cloud-Verzeichnis als Identitätsanbieter.

Service-Provider

Sie können eine Integration Verify mit mehreren Identitätsanbietern vornehmen, um Benutzer zu authentifizieren. Benutzer von externen Identitätsanbietern können sich ohne ihr Verify Passwort per Single Sign-On bei Verify und ihren berechtigten Anwendungen anmelden.

Dieser Identitätsanbieter wird in einer Single-Sign-On-Konfiguration mit eingehendem „ SAML “ verwendet; Verify ist der Dienstanbieter, und die Zielanwendung ist der Identitätsanbieter.

Sie können jeden Identitätsanbieter, der das „ SAML “-Protokoll unterstützt, als Identitätsanbieter für „ SAML Enterprise“ verwenden. VerifyDer Identitätsanbieter überprüft die Identität des Benutzers anhand der bei ihm gespeicherten Daten, bevor er den Zugriff gewährt.

Hinweis: Wenn Sie einen Identitätsanbieter von „ SAML “ hinzufügen, wird dessen Signaturzertifikat automatisch auf der Seite „Sicherheit > Zertifikate > Signaturzertifikate“ importiert.
OIDC Enterprise
Jeder Identitätsprovider, der das OIDC-Protokoll unterstützt, kann als OIDC Enterprise-Identitätsprovider verwendet werden. Der Identitätsprovider authentifiziert die Benutzeridentität anhand von Daten in diesem Identitätsprovider, bevor er den Zugriff auf IBM Verify gewährt.
IBMid

Verwendet die Identitätszugriffs- und -managementlösung von IBM, um Benutzern die einmalige Anmeldung bei allen Anwendungen, Services und Communitys sowie beim Support von IBM usw. bereitzustellen.

IBMid ist die Standardanmeldeoption für die erstmalige Anmeldung als Administrator bei Verify. Nur der Verify Administrator kann sich Verify über IBMid anmelden. Dieser Identitätsanbieter ist für die Anmeldung von Endbenutzern nicht geeignet.

Nach der erstmaligen Anmeldung als Administrator können Sie das Cloud-Verzeichnis oder die konfigurierten Identitätsanbieter von „ SAML “ als weitere Anmeldeoptionen für die nachfolgenden Anmeldungen als Administrator aktivieren.

MaaS360 Cloud Extender

Die Identitäten der Benutzer werden mithilfe der Informationen verifiziert, die im unternehmensweiten Repository oder in der lokalen Benutzerregistry gespeichert sind, die Authentifizierungsanforderung wird jedoch an einen anderen Server oder Agenten delegiert oder über einen anderen Server oder Agenten übergeben.

VerifyDie Identitäten der authentifizierten Benutzer werden in […] zusammengeführt. Sie können die entsprechenden Informationen unter „Verzeichnis > Benutzer & Gruppen“ einsehen.

Social
Die Identitäten der Benutzer werden mithilfe ihres jeweiligen Social-Network-Accounts verifiziert. Ein Social-Identity-Provider kann einmalig eingerichtet werden und dient ausschließlich als Anmeldeoption für Anwendungen. Damit kann man sich nicht bei der Verify Administratorkonsole oder dem Benutzer-Launchpad anmelden. Verify unterstützt die folgenden Social-Identity-Anbieter:
  • Apple
  • Baidu
  • Facebook
  • GitHub
  • Google
  • LinkedIn
  • QQ
  • Renren
  • WeChat
  • Weibo
  • Yahoo
  • X

VerifyDie Identitäten der authentifizierten Benutzer werden in […] zusammengeführt. Sie können die entsprechenden Informationen unter „Verzeichnis > Benutzer & Gruppen“ einsehen.

Sie können auf der An meldeseite für Administratoren oder Endbenutzer alle Identitätsanbieter mit Ausnahme der sozialen Identitätsanbieter ein- oder ausblenden. Wenn mehr als ein Identitätsanbieter aktiviert ist und angezeigt wird, muss der Benutzer auswählen, welcher Identitätsanbieter für die Authentifizierung verwendet werden soll. Um die Benutzerfreundlichkeit zu gewährleisten, sollten Sie nur einen Identitätsanbieter aktivieren und anzeigen. Ist nur ein Identitätsanbieter aktiviert, wird dieser zur Standardanmeldeoption für den Benutzer. Der Benutzer muss keinen bevorzugten Identitätsanbieter auswählen.

Tipp: Wenn Sie sich nicht über einen konfigurierten Identitätsanbieter von Verify „ SAML Enterprise“ anmelden können und die Anmeldeoption „Cloud Directory“ nicht verfügbar oder nicht sichtbar ist, verwenden Sie die folgende URL: URL :
https://<hostname>.verify.ibm.com/authsvc/mtfim/sps/authsvc?PolicyId=urn:ibm:security:authentication:asf:basicldapuser

Vorgehensweise

  1. Wählen Sie „Authentifizierung“ > „Identitätsanbieter“
  2. Wählen Sie einen Identitätsanbieter aus, um dessen Informationen anzuzeigen.
    Hinweis: Die angezeigten Informationen variieren je nach Ident itätsanbieter.
    Tabelle 1. Informationen zum Identitätsanbieter
    Information Beschreibung
    Name

    Der Name, den Sie vergeben, um das Benutzerverzeichnis zu bezeichnen, das von Identitätsanbietern wie Microsoft™ Active Directory, Microsoft Azure, Active Directory oder anderen verwendet wird.

    Wenn mehr als ein Identitätsprovider konfiguriert und aktiviert ist, wird der Name des Identitätsproviders auf der Verify-Seite 'Anmelden' angezeigt.

    Diese Informationen werden auch auf der Registerkarte „Verzeichnis > Benutzer und Gruppen > Benutzer “ im Dialogfeld „Benutzer hinzufügen “ angezeigt, wenn Sie einen Identitätsanbieter auswählen.
    Realm

    Es handelt sich um ein Attribut des Identitätsanbieters, das dabei hilft, Benutzer verschiedener Identitätsanbieter zu unterscheiden, die denselben Benutzernamen haben.

    Diese Informationen werden unter „Verzeichnis > Benutzer & Gruppen “ sowie im Dialogfeld „Benutzer bearbeiten“ angezeigt.

    Für die folgenden Identitätsanbieter :
    • Cloud Directory, der Bereichswert lautet cloudIdentityRealm.
    • www.ibm.comIBMid ist der Bereichswert.
    • SAML Bei „Enterprise“ kann der Domänenwert ein beliebiger eindeutiger Name sein, den Sie bei der Erstellung des Identitätsanbieters vergeben haben.
    • OnPrem LDAP; der Domänenwert kann ein beliebiger eindeutiger Name sein, den Sie bei der Erstellung des Identitätsanbieters vergeben haben.
    • Bei Apple ist der Realmwert www.apple.com.
    • Für Baidu ist der Realmwert www.baidu.com.
    • Für Facebook ist der Realmwert www.facebook.com.
    • Für GitHub ist der Realmwert www.github.com.
    • Für Google ist der Realmwert www.google.com.
    • Für LinkedIn ist der Realmwert www.linkedin.com.
    • Für QQ ist der Realmwert www.qq.com.
    • Für Renren ist der Realmwert www.renren.com.
    • Für WeChat ist der Realmwert www.wechat.com.
    • Für Weibo ist der Realmwert www.wiebo.com.
    • X, der Bereichswert ist www.twitter.com.
    • Für Yahoo ist der Realmwert www.yahoo.com.
    ID Wenn Sie auf „Speichern“ klicken, wird eine ID für den Identitätsanbieter generiert.
    Aktiviert

    Gibt an, ob der Identitätsprovider aktiv und verfügbar ist.

    Wenn der Identitätsprovider konfiguriert und aktiviert ist, können sich Benutzer über die einmalige Anmeldung bei Verify und ihren berechtigten Anwendungen mit dem ausgewählten Identitätsprovider anmelden. Wenn der Identitätsprovider nicht aktiviert ist, wird diese Option nicht auf der Seite Anmelden angezeigt.
    Hinweis:
    • Es muss mindestens ein Identitätsprovider vorhanden sein, damit eine Anmeldung bei Verify möglich ist.
    • Wenn nur ein einziger Identitätsprovider aktiviert wird, wird er zur Standardanmeldeoption für den Benutzer.
    Identitätslinking

    Aktiviert

    		 Aktiviert die Identitätsverknüpfung für einen bestimmten Identitätsanbieter. In Cloud Directory werden keine Schattenkonten in dem Bereich erstellt, der für diesen Identitätsanbieter angegeben wurde.
    Diese Funktion ist für „ SAML “-Anwendungen und die folgenden Social -Identity-Anbieter verfügbar:
    • Apple
    • Facebook
    • GitHub
    • Google
    • LinkedIn
    • SAML Enterprise
    • WeChat
    • X
    • Yahoo

    Diese Option steht auch für Identitätsanbieter von „ OnPrem “ und „ LDAP “ zur Verfügung. Bei Identitätsanbietern vom Typ „ OnPrem “ und „ LDAP “ muss das Benutzerkonto beim primären verknüpften Identitätsanbieter vorhanden sein, damit die Authentifizierung zur Laufzeit erfolgreich durchgeführt werden kann. Wenn beim primären verknüpften Identitätsanbieter kein entsprechendes Benutzerkonto vorhanden ist, schlägt die Authentifizierung fehl.

    Hinweis:
    1. Sie können die Verknüpfung nicht für den Identitätsanbieter aktivieren, der als Ihr Standard-Identitätsanbieter festgelegt ist.
    2. Sie können Ihren standardmäßigen Identitätsanbieter für die Verknüpfung nicht deaktivieren oder löschen.
    Eindeutige Benutzer-ID
    Wählen Sie im Menü das Attribut aus, das als ID für den verlinkten Account verwendet wird.
    Just-in-time-Bereitstellung
    Wenn das Benutzerkonto beim primären Identitätsanbieter nicht gefunden wird, erstellt diese Option ein Schattenkonto in diesem primären Bereich. Bei Identitätsanbietern wie OnPrem und LDAP wird das Benutzerkonto im primären verknüpften Identitätsanbieter erstellt, sofern es noch nicht existiert. Kontoattribute werden im primären verknüpften Konto mit den Attributen aktualisiert, die vom lokalen oder externen Identitätssystem abgerufen werden.
    Eindeutige Benutzer-ID

    Diese Funktion steht für Anwendungen unter SAML sowie für lokale Identitätsquellen (On-prem LDAP ) zur Verfügung.

    		 Das Benutzerattribut, das als die ID für den verlinkten Account in Cloud Directory verwendet wird.
    Just-in-Time-Bereitstellung für Identitätsanbieter von „ OnPrem “ und „ LDAP “. Gilt nur für ID-Anbieter von OnPrem und LDAP.

    Wenn diese Option aktiviert ist, können Administratoren die Migration von Benutzerdatensätzen externer Identitätsprovider für den Cloud Directory-Realm konfigurieren. Bei Verwendung mit password just-in-time provisioning werden die Benutzerkennwörter ebenfalls zusammen mit den Benutzerdatensätzen migriert.

    Wenn diese Option deaktiviert ist, unterbrechen Administratoren die Migration von Passwörtern des Identitätsanbieters in den Cloud-Directory-Bereich und ermöglichen es den Benutzern, sich über Cloud Directory zu authentifizieren.
    Just-in-time-Bereitstellung von Kennwörtern

    Diese Umschaltfläche ist nur aktiv, wenn die Umschaltfläche Just-in-time-Bereitstellung bereits aktiviert ist.

    Wenn diese Option ausgewählt ist, aktivieren Administratoren eine Migrationsphase, in der Konten und ihre Kennwörter des Identitätsproviders für den Cloud Directory-Realm migriert werden. Benutzer, die mit einem Identitätsanbieter von „ OnPrem “ verknüpft sind, können sich in dieser Phase nicht bei Cloud Directory authentifizieren.

    Ist die Option inaktiviert, halten Administratoren die Migration der Kennwörter von Identitätsprovidern in das Cloud Directory-Realm an und ermöglichen es Benutzern, sich mit Cloud Directory zu authentifizieren.

    Hinweise zur Aktivierung der Option zur Just-in-time-Bereitstellung für Kennwörter (identityLinkingJitPwdEnabled)

    Wenn diese Option ausgewählt ist, versucht die Verify-Plattform, die Kontoattribute und Kennwörter der Benutzer im primären Realm des Identitätsproviders just-in-time bereitzustellen, der für Ihren Tenant konfiguriert ist. Diese Bereitstellung wird ausgeführt, nachdem der Benutzername und das Kennwort erfolgreich vom lokalen oder externen Identitätsprovider validiert wurden. Wenn versucht wird, das Kennwort bereitzustellen, stellt Verify sicher, dass das Kennwort den Einstellungen für die Kennwortrichtlinien entspricht, die dem primären Identitätsprovider zugeordnet sind. Wenn das von Ihrem lokalen Identitätsanbieter validierte Passwort diese Verify Richtlinie nicht erfüllt, schlägt der Authentifizierungsversuch fehl. Die Kontoattribute und das Kennwort werden nicht im Realm des primären Verify-Identitätsproviders bereitgestellt. Der Benutzer erhält eine Fehlernachricht, die darauf hinweist, dass der Benutzername oder das Kennwort ungültig ist, und er sich an den Systemadministrator wenden soll.

    Um dies zu vermeiden, legen Sie eine Passwortrichtlinie fest, deren Sicherheitsanforderungen denen des lokalen oder externen Identitätssystems entsprechen oder diese sogar unterschreiten. Ordnen Sie diese Richtlinie dem primären Identitätsprovider zu, der für den Verify-Tenant konfiguriert ist. In der Regel ist der primäre Realm des Identitätsproviders Verify Cloud Directory, das häufig mit der Standardkennwortrichtlinie konfiguriert wird.

    Da bei jeder erfolgreichen Authentifizierung vor Ort eine Just-in-Time-Bereitstellung des Passworts erfolgt, kann die Einstellung für den Passwortverlauf im Bereich des primären Identitätsanbieters zu Fehlern bei der Synchronisierung von Kontoattributen und Passwörtern führen. Es kann sinnvoll sein, die Durchsetzung des Kennwortprotokolls zu inaktivieren, um solche Fehler zu verhindern.

    Wenn die Option zur Just-in-Time-Bereitstellung von Passwörtern von „aktiviert“ auf „deaktiviert“ umgeschaltet wird, gilt die Migrationsphase vom lokalen Verzeichnis zum Cloud-Verzeichnis als abgeschlossen. Migrierte Benutzer können sich mit ihrem migrierten Kennwort an Cloud Directory authentifizieren. Möglicherweise möchten Sie die Passwortrichtlinieneinstellungen für das Cloud-Verzeichnis wieder aktivieren, die für die Migrationsphase angepasst wurden.
    JIT-Bereitstellung aktivieren

    Dieses Feature ist für SAML-Anwendungen verfügbar.

    		 Wenn das Konto nicht im Standardidentitätsprovider gefunden wird, wird bei Verwendung dieser Option ein Spiegelkonto in diesem Standardrealm erstellt.
  3. Optional: Verwaltung von Passwortrichtlinien.
  4. Optional: Hinzufügen eines Identitätsanbieters von „ SAML Enterprise “.
  5. Optional: Hinzufügen eines Identitätsanbieters für den „ MaaS360 “ Cloud Extender.
  6. Optional: Einrichten des Identitätsanbieters „ MaaS360 “ und der Benutzerkennung.
  7. Optional: Hinzufügen eines Anbieters für soziale Identitäten.
  8. Optional: Löschen eines Identitätsanbieters.
    Hinweis: Ein Cloud-Verzeichnis oder einen Identitätsanbieter von „ IBMid “ kann nicht gelöscht werden.
    1. Wählen Sie den Identitätsanbieter aus und klicken Sie im Dialogfeld „Identitätsanbieter bearbeiten“ auf „Löschen “.
    2. Bestätigen Sie, dass Sie den ausgewählten Identitätsanbieter endgültig löschen möchten.
      Hinweis:
      • Ein Identitätsanbieter, der als Standardauswahl für MaaS360… verwendet wird, kann nicht gelöscht werden. Sie müssen einen anderen Identitätsanbieter auswählen, MaaS360 bevor Sie den aktuellen Standardanbieter löschen.
      • Sie können keinen Identitätsanbieter löschen, der einer Anwendung als Anmeldeoption zugewiesen ist. Sie müssen sie als Option für die Anwendung entfernen, bevor Sie die Identitätsquelle löschen können.